Eine einfache Methode, um mit Windows Server 2012 R2 oder Windows Server 2016 ein VPN aufzubauen, ist der Einsatz von PPTP. Dieser Verbindungstyp ist zwar nicht so sicher wie L2TP oder IPsec, für viele Einsatzzwecke aber ausreichend.
PPTP-basierter VPN-Datenverkehr besteht aus einer TCP-Verbindung zum TCP-Port 1723 auf dem VPN-Server und aus GRE (Generic Routing Encapsulation) -gekapselten Paketen für die VPN-Daten. PPTP-Datenverkehr kann jedoch zu Problemen mit Firewalls, NATs und Webproxys führen. Um diese zu vermeiden, müssen Firewalls so konfiguriert werden, dass sie sowohl die TCP-Verbindung als auch GRE-gekapselte Daten ermöglichen.
PPTP ermöglicht die verschlüsselte Einkapselung von verschiedenen Netzwerkprotokollen und unterstützt Schlüssellängen bis zu 128 Bit. Nachdem die Authentifizierung durchgeführt wurde, wird die Verbindung verschlüsselt. Die Verschlüsselung baut auf dem Kennwort der Authentifizierung auf. Je komplexer das Kennwort ist, umso sicherer ist die Verschlüsselung. Da die Verschlüsselung und der Transport der einzelnen IP-Pakete durch das GRE-Protokoll durchgeführt wird, müssen Administratoren darauf achten, dass die Hardwarefirewall, den sie vor dem VPN-Server im Internet platzieren, dieses Protokoll beherrscht. Einige Modelle beherrschen GRE nicht.
Der Aufbau eines VPN ist auch mit dem Layer-2-Tunnel-Protokoll (L2TP) möglich. Dieses ist sicherer als PPTP, aber dafür auch komplexer in der Einrichtung. Auch bei diesem Protokoll werden die IP-Pakete in die Verschlüsselung eingekapselt. Das L2TP verwendet IPsec, um eine Verschlüsselung aufzubauen. Beim Aufbau eines VPN mit L2TP wird der Datenverkehr im Gegensatz zu PPTP bereits vor der Authentifizierung verschlüsselt. Da L2TP zur Verschlüsselung des Datenverkehrs IPsec verwendet, kann mit diesem VPN-Typ auch eine 3DES-Verschlüsselung durchgeführt werden. Der Einsatz eines VPN auf Basis von L2TP setzt eine Zertifizierungsstellen-Infrastruktur voraus.
Um einen Server als VPN-Server zu betreiben, muss über den Server-Manager die Installation der Serverrolle Remotezugriff installiert werden. Als Rollendienst ist DirectAcess und VPN (RAS) notwendig. Der Server muss außerdem über mindestens zwei Netzwerkadapter verfügen.
Nach der Installation startet der Einrichtungsassistent über das Wartungscenter des Server-Managers. Um den Server nur als VPN-Server zu betreiben, reicht die Auswahl „Nur VPN bereitstellen“ aus.
Die Konfiguration erfolgt anschließend zum Beispiel im Server-Manager über Tools/Routing und RAS. Standardmäßig ist der Dienst nicht aktiv. Über das Kontextmenü des Servers und der Auswahl von „Routing und RAS konfigurieren und aktivieren“, wird das VPN eingerichtet.
Im Assistenten kann jetzt ausgewählt werden, wie der VPN-Server betrieben werden soll. Für einen VPN-Server wird die Option „RAS (DFÜ oder VPN)“ verwendet. Im Rahmen der Einrichtung muss noch ausgewählt werden, auf welcher Netzwerkverbindung der Server nach Verbindungsanfragen hören soll, und welche IP-Adressen zugewiesen werden sollen. Auch die Authentifizierung lässt sich über den Assistenten festlegen. Anschließend kann die Konfiguration über den Assistenten abgeschlossen werden.
Nach dem Öffnen dieses Tools ist die Konfiguration zu sehen, die der Assistent auf dem Windows Server 2012 R2 oder Windows Server 2016 durchgeführt hat. Durch einen Klick auf den Konsoleneintrag RAS-Clients sind alle alle derzeit verbundenen VPN-Clients sowie deren aktueller Verbindungsdauer zu sehen. Durch einen Rechtsklick auf den Client, lässt sich dessen Verbindung vom Server aus trennen.
Klicken Administratoren mit der rechten Maustaste auf den Eintrag Ports, können sie die Anzahl der Ports und damit der gleichzeitig möglichen Einwahlen definieren. Wird zum Beispiel nur PPTP und kein L2TP verwendet, können die benötigen Ports für L2TP auf 0 gesetzt werden. Das gilt natürlich auch beim Einsatz von PPTP. Sollen für die Einwahl für PPTP weniger Ports zur Verfügung stellen, lässt sich diese Anzahl reduzieren oder die Einwahlmöglichkeiten in diesem Bereich komplett deaktivieren.
Damit Benutzer das Recht erhalten, auf einen VPN-Server zuzugreifen, muss im Snap-In Active Directory-Benutzer und -Computer auf der Registerkarte Einwählen im Bereich Netzwerkzugriffsberechtigung die Option Zugriff gestatten aktiviert sein.
In einer produktiven Umgebung kann auch die Option Zugriff über NPS-Netzwerkrichtlinien steuern wählen. In diesem Fall erstellen Administratoren eine Gruppe in Active Directory, zum Beispiel mit der Bezeichnung VPN-Zugriff und nehmen die Benutzerkonten in die Gruppe mit auf, denen sie VPN-Zugriff gestatten wollen.
Windows Server 2012 R2, Windows Server 2016 und Windows 8/8.1 sowie Windows 10 unterstützen neben PPTP und L2TP auch das Secure Socket Tunneling-Protokoll (SSTP) für die VPN-Einwahl. Mit diesem Protokoll wird ein VPN auf Basis von HTTPS aufgebaut. Meistens wird der Port 443 in Firewalls nicht geschlossen und auch eine Verbindung über Proxyserver ist möglich.
SSTP verwendet eine HTTP-über-SSL-Sitzung zwischen VPN-Clients und -Servern, um gekapselte IPv4- oder IPv6-Pakete auszutauschen. Ein IPv4- oder IPv6-Paket wird zunächst zusammen mit einem PPP-Header und einem SSTP-Header gekapselt. Die Kombination aus dem IPv4- oder IPv6-Paket, dem PPP-Header und dem SSTP-Header wird durch die SSL-Sitzung verschlüsselt. Ein TCP-Header und ein IPv4-Header werden hinzugefügt, um das Paket zu vervollständigen.
SSTP unterstützt allerdings keine authentifizierten Webproxykonfigurationen, in denen der Proxy während der HTTPS-Verbindungsanforderung irgendeine Form von Authentifizierung verlangt. Administratoren müssen auch nicht IIS installieren, da der Remotezugriff eingehende Verbindungen überwacht. Es können jedoch gleichzeitig sowohl Remotezugriff als auch IIS auf demselben Server vorhanden sein. Auf dem SSTP-Server muss ein Computerzertifikat mit der Serverauthentifizierung oder der Universaleigenschaft »Erweiterte Schlüsselverwendung« (Enhanced Key Usage, EKU) installiert sein. Dieses Computerzertifikat wird vom SSTP-Client verwendet, um den SSTP-Server zu authentifizieren, wenn die SSL-Sitzung eingerichtet wird. Der SSTP-Client überprüft das Computerzertifikat des SSTP-Servers. Um dem Computerzertifikat zu vertrauen, muss das Zertifikat der Stammzertifizierungsstelle (CA), die das Computerzertifikat des SSTP-Servers ausgestellt hat, auf dem SSTP-Client installiert sein.
Wenn ein Benutzer auf einem Computer eine SSTP-basierte VPN-Verbindung initiiert, findet Folgendes statt:
PPP verwendet LCP (Link Control-Protokoll), um Verknüpfungsparameter wie die maximale PPP-Datenblockgröße, die Verwendung von Multilink und die Verwendung eines bestimmten PPP-Authentifizierungsprotokolls auszuhandeln. Das Link Control-Protokoll (LCP) konfiguriert die PPP-Datenblockerstellung. Die PPP-Datenblockerstellung bestimmt, auf welche Weise die Daten zu Datenblöcken zusammengefasst werden, bevor sie im WAN übertragen werden. Das standardmäßige PPP-Datenblockformat stellt sicher, dass RAS-Programme aller Hersteller miteinander kommunizieren können und Datenpakete von jeder RAS-Software erkennen, die den PPP-Standards entspricht.
Der RAS-Client und der RAS-Server tauschen Nachrichten entsprechend des ausgehandelten Authentifizierungsprotokolls aus. Wenn EAP (Extensible Authentication-Protokoll) verwendet wird, handeln der Client und der Server eine bestimmte EAP-Methode aus, die als EAP-Typ bekannt ist. Dann werden Nachrichten dieses EAP-Typs ausgetauscht. Die Nutzung von EAP ist die von Microsoft favorisierten Variante für Wählverbindungen und erlaubt eine einheitliche Authentisierung eines Nutzers über LAN, WLAN und WAN. Wenn für die DFÜ-Verbindung der Rückruf konfiguriert ist, wird die physische Verbindung beendet, und der RAS-Server ruft den RAS-Client zurück.
Um SSTP in einer Active Directory-Domäne verwenden zu können, müssen nicht alle Server und die Domäne zu Windows Server 2016 migriert werden. Es reicht der Einsatz eines VPN-Servers mit Windows Server 2012 R2 aus. Auf den Clients kann Windows Vista, Windows 7 und Windows 8/8.1 installiert sein, wobei Windows 10 aus Sicherheitsgründen von Microsoft empfohlen wird. Die Berechtigung für die Einwahl der Benutzer erfolgt identisch zu den Berechtigungen über andere VPN-Methoden. Benutzern müssen nur die entsprechenden Rechte zugewiesen werden.
Damit SSTP verwendet werden kann, muss der Rollendienst „Zertifizierungsstellen-Webregistrierung“ der Rolle „Active Directory-Zertifikatdienste“ installiert sein. Die Zertifizierungsstelle muss außerdem als Stammzertifizierungsstelle installiert sein. Der nächste Schritt, den VPN-Server vorzubereiten, besteht darin, ein Serverzertifikat von der Zertifizierungsstelle anzufordern und zu installieren:
Die Installation erfolgt über das Zertifikate-Verwaltungstool „certlm.msc“. Mit der rechten Maustaste auf Eigene Zertifikate/Zertifikate und der Auswahl von Alle Aufgaben/Neues Zertifikat anfordern lassen sich Zertifikate von der Zertifizierungsstelle abrufen. SSTP benötigt Zertifikate vom Typ „Computer“. Werden diese Zertifikate nicht angezeigt, muss die Einstellung dazu auf dem Zertifikatserver mit dem Snap-In Zertifikatvorlagen angepasst werden.
In den Eigenschaften des Zertifikats Computers müssen dazu auf der Registerkarte Sicherheit die Berechtigungen angepasst werden. Die jeweiligen Benutzer, also „Authentifizierte Benutzer“ oder „Domänen-Admins“ müssen das Recht zum Registrieren erhalten.
Damit ein VPN über HTTPS mit SSTP verwendet werden kann, muss auf den Clients Windows Vista, Windows 7 oder Windows 8/8.1, besser Windows 10 installiert sein. Damit sich der VPN-Client verbinden kann, muss das Zertifikat der Stammzertifizierungsstelle auf dem Client installiert sein. Computer, die Mitglied der gleichen Active Directory-Gesamtstruktur wie der Zertifikatserver sind, vertrauen der Zertifizierungsstelle automatisch. Der nächste Schritt besteht darin, eine VPN-Verbindung zu konfigurieren:
Wie bei allen Verbindungen, werden auch Informationen zum SSTP-VPN in den Ereignisanzeigen des Servers gespeichert. Fehlermeldungen werden im Protokoll „System“ hinterlegt. Die Meldungen von SSTP haben die Quelle „RasSstp“. Sollten Verbindungsprobleme auftreten, liegt es fast immer an fehlerhaften Zertifikaten und dem Namen des Zertifikats. In den Eigenschaften der Ports der RAS-Verwaltungskonsole können weitere Einstellungen bezüglich SSTP-VPN vorgenommen werden.Auf der Registerkarte Sicherheit des Routing- und RAS-Servers lässt sich auch das Zertifikat konfigurieren, das die SSTP-Verbindung verwenden soll. In den Eigenschaften für Ports werden außerdem die Anzahl und Konfiguration der Ports für SSTP festgelegt.
Windows Server 2016 bietet mit DirectAccess und den verschiedenen Möglichkeiten für VPNs umfangreiche Funktionen, um externe Clients an das interne Netzwerk anzubinden. Es ist also nicht immer eine externe Lösung notwendig, um Anwender von unterwegs an die Ressourcen des Unternehmens anzubinden.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…